# OPNsense Backup & Restore: Sicherheit für die Konfiguration
TL;DR / Management Summary Eine OPNsense-Konfiguration ist eine einzelne XML-Datei. Wer diese Datei hat, kann eine Firewall innerhalb von 5 Minuten auf völlig neuer Hardware wiederherstellen. Ein Senior Admin verlässt sich nicht auf manuelle Exporte, sondern nutzt automatisierte Backups (via Nextcloud, Google Drive oder API) und speichert Versionen seiner Änderungen. Wichtig: Backups sollten immer verschlüsselt sein, da sie sensible Daten wie VPN-Keys und Passwörter enthalten.
# 1. Einführung & Das XML-Konzept
Alles in einer Datei.
Im Gegensatz zu Windows-Systemen speichert OPNsense fast alle Einstellungen (Regeln, Schnittstellen, User, Plugins) in /conf/config.xml.
- Vorteil: Portabilität. Sie können eine Config von einem Mini-PC auf eine Proxmox-VM übertragen (Interface-Mapping erforderlich).
- Vorteil: Textbasiert. Änderungen lassen sich mit
diffvergleichen.
# 2. Backup-Strategien in der Praxis
Vom Klick zur Automatisierung.
# 1. Manueller Export (GUI)
System -> Configuration -> Backups.
- Wichtig: Haken bei “Encrypt this configuration file” setzen und ein starkes Passwort wählen.
# 2. Automatisierte Cloud-Backups
OPNsense unterstützt nativ:
- Google Drive: Einfach, aber erfordert Cloud-Vertrauen.
- Nextcloud: Die beste Wahl für Enterprise (On-Premise Backup).
- Git: Für DevOps-Teams ideal zur Versionierung.
# 3. API-basiertes Backup (Der Admin-Weg)
Nutzen Sie ein Script, das die Config via HTTPS-API zieht:
curl -k -u "API_KEY:API_SECRET" https://192.168.1.1/api/core/backup/download/this > config_$(date +%F).xml# 3. Deep Dive: Restore-Szenarien
Der Moment der Wahrheit.
# Vollständiger Restore
- Frische OPNsense installieren.
System -> Configuration -> Restore.- XML-Datei hochladen (ggf. Entschlüsselungspasswort angeben).
- Reboot.
# Partieller Restore (Surgical)
Sie haben versehentlich 100 Firewall-Regeln gelöscht?
- Wählen Sie beim Restore nur den Bereich “Firewall” aus der XML-Datei aus. Die restlichen Einstellungen (Netzwerk, VPN) bleiben unberührt.
# 4. Day-2 Operations: Configuration History
Zeitreisen in der GUI.
OPNsense speichert lokal die letzten 30-100 Änderungen.
- Pfad:
System -> Configuration -> History. - Aktion: Sie können zwei Zeitpunkte auswählen und “Diff” klicken. Sie sehen exakt, welche Zeile Code geändert wurde. Ein Klick auf “Revert” macht die Änderung rückgängig.
# 5. Troubleshooting & “War Stories”
Wenn die XML-Datei nicht passt.
# Top 3 Fehlerbilder
-
Symptom: Restore erfolgreich, aber kein Internetzugriff mehr.
- Ursache: Interface-Mismatch. Die neue Hardware hat andere Namen für die Netzwerkkarten (z.B.
igb0stattvtnet0). - Lösung: Nach dem Reboot fragt OPNsense an der Konsole nach der neuen Zuweisung (“Assign Interfaces”).
- Ursache: Interface-Mismatch. Die neue Hardware hat andere Namen für die Netzwerkkarten (z.B.
-
Symptom: “Invalid encryption password” beim Restore.
- Lösung: Es gibt keinen Workaround. Ohne Passwort ist die Datei wertlos. Nutzen Sie für Backups den Firmen-Passwort-Manager!
-
Symptom: Plugins fehlen nach dem Restore.
- Ursache: Die XML enthält nur die Liste der Plugins, nicht die Binaries.
- Lösung: Der Server braucht nach dem Restore Internetzugriff, um die Plugins automatisch nachzuladen.
# “War Story”: Das “Locked-Out” Desaster
Ein Admin änderte die IP des Management-Interfaces und sperrte sich selbst aus. Er hatte kein aktuelles Backup.
Die Rettung: Via Proxmox-Konsole (Option 8: Shell) konnten wir in /conf/backup/ eine ältere Version der config.xml finden und sie manuell über die aktive Datei kopieren (cp /conf/backup/config-12345.xml /conf/config.xml). Nach einem reboot war der Zugriff wieder möglich.
Lehre: OPNsense vergisst nichts. Die lokale Historie ist oft der letzte Rettungsanker.
# 6. Monitoring & Reporting
Backup-Integrität prüfen.
# Health Check (PowerShell/Bash)
Prüfen Sie regelmäßig die Dateigröße Ihrer Backups.
- Trend: Wenn die Datei plötzlich nur noch 10 KB statt 500 KB groß ist, schlägt der Export fehl.
# 7. Fazit & Empfehlung
Ein Backup-Konzept für die Firewall ist überlebenswichtig.
- Empfehlung: Nutzen Sie den Git-Export oder Nextcloud-Sync. Es ist automatisiert und bietet eine Historie über Jahre.
- Wichtig: Sichern Sie den Verschlüsselungs-Key für die Backups an einem analogen Ort (Safe) oder in einem hochverfügbaren Passwort-Manager.
# Anhang: Cheatsheet
| Aufgabe | Pfad / Befehl |
|---|---|
| Backup GUI | System -> Configuration -> Backups |
| Lokale Historie | System -> Configuration -> History |
| Config Pfad (SSH) | /conf/config.xml |
| Backup Pfad (SSH) | /conf/backup/ |